Alicia Malone:<\/strong> As\u00ed que, antes de sumergirnos en los detalles de esta nueva norma, cu\u00e9ntanos qu\u00e9 es MPoC. \u00bfQu\u00e9 es Mobile Payments on COTS de PCI?<\/em><\/p>\nAndrew Jamieson:<\/strong> Como ha dicho, es una nueva norma que publicamos el mes pasado, en noviembre de 2022, y que establece los requisitos de seguridad para las implementaciones que aceptan datos de tarjetas con PIN y\/o sin contacto en un dispositivo COTS.<\/p>\nPor dispositivo COTS se entiende b\u00e1sicamente un tel\u00e9fono m\u00f3vil o una tableta, aunque su \u00e1mbito de aplicaci\u00f3n es un poco m\u00e1s amplio. Se trata b\u00e1sicamente de una evoluci\u00f3n de nuestras normas SPoC y CPoC, pero hemos incorporado flexibilidad adicional a la norma para dar cabida a tres tipos diferentes de productos listados, de modo que donde SPoC y CPoC s\u00f3lo ten\u00edan la capacidad de (en SPoC, es un PIN, pero no tarjetas y en CPoC, tarjetas, pero no PIN), nosotros lo hemos combinado en MPoC, en una norma m\u00e1s flexible.<\/p>\n
Alicia Malone:<\/strong> H\u00e1blenos un poco del proceso de desarrollo de MPoC. \u00bfQu\u00e9 importancia ha tenido la colaboraci\u00f3n del sector en esta norma?<\/em><\/p>\nAndrew Jamieson:<\/strong> Fue vital. Absolutamente vital. Esta norma se desarroll\u00f3 en respuesta directa a los comentarios de la comunidad. Como ya he dicho, es una amalgama de las normas SPoC y CPoC existentes, y nos enteramos de que la gente quer\u00eda una norma \u00fanica que les permitiera aceptar datos de tarjetas y PIN en un \u00fanico dispositivo COTS. Y tambi\u00e9n buscaban una mayor flexibilidad. Buscaban soluciones que pudieran adaptarse a nichos de mercado, as\u00ed como a grandes implantaciones: 10 comercios, 100 comercios o 10 millones de comercios, b\u00e1sicamente.<\/p>\nEso es realmente lo que intentamos hacer con MPoC y esa es la verdadera diferencia de esta norma. Y, como parte de ello, ya que estamos trabajando en ello, hemos tenido dos procesos RFC (Request for Comments<\/em>) sobre el est\u00e1ndar como un nuevo est\u00e1ndar. Tenemos procesos RFC para cada nueva norma que publicamos y eso nos proporcion\u00f3 m\u00e1s de 900 elementos de retroalimentaci\u00f3n individual y que fue fundamental en la forma en que esta norma se uni\u00f3. Realmente, ser\u00eda una norma diferente sin todos esos comentarios, y creo, personalmente, que una norma no tan buena. Los comentarios, las aportaciones de la comunidad, la informaci\u00f3n que recibimos sobre c\u00f3mo quer\u00eda la gente que se estructurara, c\u00f3mo quer\u00edan utilizarla, realmente la convirtieron en la norma que es hoy.<\/p>\nAlicia Malone:<\/strong> \u00bfEn qu\u00e9 se diferencia PCI MPoC de las otras normas m\u00f3viles de PCI, SPoC y CPoC? S\u00e9 que lo ha mencionado brevemente, pero \u00bfcu\u00e1l es la gran diferencia?<\/em><\/p>\nAndrew Jamieson:<\/strong> Ya lo he mencionado. He dicho que son una amalgama, pero eso quiz\u00e1s sea un poco injusto con MPoC. Desde el punto de vista de la experiencia del usuario, no es tan diferente. Como he dicho, permite leer el PIN y la tarjeta sin contacto directamente en el tel\u00e9fono m\u00f3vil. Sin embargo, cuando se mira bajo el cap\u00f3, es un est\u00e1ndar que se cre\u00f3 de la nada. Se trata de una norma totalmente nueva basada en la experiencia y los conocimientos adquiridos con las normas SPoC y CPoC para permitir que esos dos datos de la tarjeta se introduzcan en un \u00fanico tel\u00e9fono m\u00f3vil, pero tambi\u00e9n para a\u00f1adir flexibilidad, para a\u00f1adir la capacidad de admitir kits de desarrollo de software, para a\u00f1adir la capacidad de admitir la aprobaci\u00f3n del software que se utiliza en una soluci\u00f3n MPoC independientemente de la soluci\u00f3n global. Para ello, tuvimos que considerar los requisitos desde una nueva perspectiva, estructurar las cosas de forma diferente, separar los aspectos t\u00e9cnicos o de desarrollo de los operativos. Desde el punto de vista de la experiencia del usuario, son similares, pero desde el punto de vista operativo, son muy diferentes.<\/p>\nAlicia Malone:<\/strong> Hablemos m\u00e1s de esa flexibilidad a\u00f1adida que ha mencionado y de c\u00f3mo se han separado los aspectos operativos de los de desarrollo. \u00bfPuede dar un ejemplo de c\u00f3mo esto puede ser beneficioso?<\/em><\/p>\nAndrew Jamieson:<\/strong> S\u00ed. Un buen ejemplo, y he mencionado que apruebas el software por separado, o puedes aprobar el software por separado. Todav\u00eda se puede aprobar toda la soluci\u00f3n. Eso tambi\u00e9n est\u00e1 bien bajo MPoC, pero si lo haces, cuando te fijas en ese aspecto del software, si lo apruebas por separado, hay requisitos que tenemos en torno a la gesti\u00f3n de claves, por ejemplo.<\/p>\nLa gesti\u00f3n de claves es un buen ejemplo. El software tiene que implementar y ser capaz de soportar una gesti\u00f3n de claves fuerte, robusta y segura, y esto implica c\u00f3mo se generan y distribuyen y almacenan y utilizan las claves, etc\u00e9tera, etc\u00e9tera. Sin embargo, eso es s\u00f3lo c\u00f3mo se implementa en el software. Cuando se despliega ese software, cuando se utiliza como parte de una soluci\u00f3n MPoC, hay un aspecto de c\u00f3mo se utiliza realmente. \u00bfQu\u00e9 ocurre en el backend? \u00bfC\u00f3mo se generan las claves? \u00bfC\u00f3mo se gestionan?<\/p>\n
Tambi\u00e9n hay aspectos operativos. Este es un buen ejemplo de c\u00f3mo lo separamos y tenemos dos secciones de gesti\u00f3n de claves, esencialmente en MPoC, una de ellas centrada en c\u00f3mo implementa el software la gesti\u00f3n de claves. Y luego, \u00bfc\u00f3mo funciona en los aspectos operativos en los backends y as\u00ed sucesivamente? Y ese es un ejemplo de c\u00f3mo funciona. Para que sea beneficioso, permite esa separaci\u00f3n. Te permite decir: “Vale, podemos aprobar este software por separado”, y eso a\u00f1ade esa flexibilidad que la gente estaba buscando.<\/p>\n
Alicia Malone:<\/strong> \u00bfCu\u00e1les son algunos de los dispositivos comerciales a los que se dirige esta \u00faltima norma?<\/em><\/p>\nAndrew Jamieson:<\/strong> S\u00ed. He mencionado los tel\u00e9fonos m\u00f3viles, pero es m\u00e1s amplio. En general, se puede pensar en tel\u00e9fonos m\u00f3viles y tabletas, pero b\u00e1sicamente lo que estamos haciendo es ver c\u00f3mo la gente est\u00e1 cambiando su forma de interactuar en el comercio cara a cara. Y as\u00ed, la gente quiere ser capaz de, sobre una base ad hoc, utilizar potencialmente su tel\u00e9fono m\u00f3vil y tal vez est\u00e1n en un mercado o algo por el estilo y quieren ser capaces de aceptar transacciones, pero tambi\u00e9n hay un deseo de utilizar diferentes tipos de dispositivos, as\u00ed en este contexto. Tal vez se trate de dispositivos comerciales que han sido dise\u00f1ados para la toma de valores y as\u00ed sucesivamente y quieren ser capaces de aceptar transacciones en este tipo de dispositivos tambi\u00e9n. Tenemos ciertas normas en torno a los tipos de dispositivos que est\u00e1n permitidos, pero es sin duda m\u00e1s amplio que los tel\u00e9fonos m\u00f3viles y tabletas est\u00e1ndar, pero son el foco principal.<\/p>\nAlicia Malone:<\/strong> \u00bfExisten amenazas espec\u00edficas a la seguridad de los datos que esta norma MPoC pretenda abordar?<\/em><\/p>\nAndrew Jamieson:<\/strong> S\u00ed. B\u00e1sicamente, en lo que respecta a la seguridad de los datos, se trata de garantizar la seguridad de la transacci\u00f3n que se realiza y, por supuesto, de los datos que intervienen en ella. Al tratarse de una norma centrada en dispositivos de prop\u00f3sito general, en concreto dispositivos que no est\u00e1n dise\u00f1ados exclusiva y espec\u00edficamente para el procesamiento de pagos, una parte muy importante de la generaci\u00f3n de esta norma ha sido c\u00f3mo podemos asegurarnos de que el entorno operativo -ejecutar una aplicaci\u00f3n de pago en un dispositivo de prop\u00f3sito general- c\u00f3mo podemos asegurarnos de que la aplicaci\u00f3n MPoC est\u00e1 protegida, es capaz de funcionar, es capaz de proteger los datos que gestiona y protege.<\/p>\nAs\u00ed que, durante el desarrollo de la norma, tuvimos en cuenta los diferentes modelos de amenaza, los diferentes escenarios de ataque. Trabajamos a lo largo de la norma para asegurarnos de que los requisitos fueran suficientes para mitigar esos tipos de ataques y proteger los datos confidenciales, en concreto, \u00bfc\u00f3mo protegemos el PIN cuando se introduce en estos dispositivos? \u00bfC\u00f3mo protegemos los datos de la tarjeta cuando se introducen a trav\u00e9s de NFC? \u00bfC\u00f3mo se garantiza la seguridad de una soluci\u00f3n que integra varios SDK y que permite, por ejemplo, integrar hasta dos SDK en una \u00fanica aplicaci\u00f3n MPoC? Estos son solo algunos de los aspectos que se tuvieron en cuenta a la hora de elaborar la norma.<\/p>\n
Alicia Malone:<\/strong> Es muy interesante para m\u00ed c\u00f3mo el entorno de pago, el paisaje de pago, la forma en que hacemos los pagos, est\u00e1 cambiando tan r\u00e1pidamente. \u00bfCree que con el auge y la popularidad de los pagos m\u00f3viles hoy en d\u00eda los terminales de pago ser\u00e1n cosa del pasado? \u00bfQu\u00e9 cree que nos deparar\u00e1 el futuro?<\/em><\/p>\nAndrew Jamieson:<\/strong> Bueno, si tuviera una bola de cristal, ya me habr\u00eda tocado la loter\u00eda y estar\u00eda sentado en alguna playa. Tal vez en la soleada Melbourne, hoy ha salido el sol, pero quiz\u00e1 en alg\u00fan lugar un poco m\u00e1s c\u00e1lido en invierno. Por desgracia, no tengo una bola de cristal. Puedo hablar de lo que hemos considerado y lo que hemos visto como pr\u00f3logo a la generaci\u00f3n de la norma MPoC. Como ya he dicho, vemos que la gente quiere tener m\u00e1s flexibilidad a la hora de aceptar pagos cara a cara, utilizando tarjetas en ese tipo de entornos y, potencialmente, tel\u00e9fonos m\u00f3viles y tabletas y distintos tipos de dispositivos COTS para interactuar con el entorno terminalizado. Y, por supuesto, las normas que tenemos como PCI PTS POI, que se centran en esos entornos de terminales, probablemente utilizar\u00eda una analog\u00eda en el lado emisor. Por lo tanto, creo que todo el mundo est\u00e1 relativamente familiarizado con tener tarjetas de pago f\u00edsicas, por supuesto, pero tambi\u00e9n con la posibilidad de utilizar su tel\u00e9fono para realizar un pago. Tener la tarjeta en el tel\u00e9fono y pulsar el tel\u00e9fono en un terminal, en lugar de la tarjeta.<\/p>\nEsto no significa que las tarjetas vayan a desaparecer. Seguimos teniendo gente con tarjetas en la cartera, en el bolso, lo que sea, as\u00ed como tarjetas en el tel\u00e9fono y creo que existe la posibilidad, la oportunidad, en mi opini\u00f3n, la probabilidad de que veamos el entorno terminalizado – cosas como los terminales PCI PTS existen y coexisten junto con las soluciones MPoC tambi\u00e9n. No creo que las soluciones MPoC devoren, por as\u00ed decirlo, esa poblaci\u00f3n de terminales. Veo que se suman a ella y, por tanto, veremos un aumento de la capacidad de la gente para aceptar pagos con tarjeta y ese aumento se basar\u00e1 en el aumento de la poblaci\u00f3n de soluciones basadas en cosas como MPoC y los terminales seguir\u00e1n existiendo.<\/p>\n
Alicia Malone:<\/strong> \u00bfQu\u00e9 le gustar\u00eda que nuestros oyentes, nuestra audiencia, supieran sobre este nuevo est\u00e1ndar MPoC? \u00bfQu\u00e9 cree que es lo m\u00e1s importante?<\/em><\/p>\nAndrew Jamieson:<\/strong> Me han preguntado por una cosa importante. Voy a hacer un poco de trampa y le dar\u00e9 dos, si le parece bien, y esas dos cosas son esencialmente que MPoC se centra realmente en la flexibilidad. Est\u00e1 dise\u00f1ado para proporcionar a la gente la oportunidad de crear esas aplicaciones para 10 comerciantes o 10 millones de comerciantes, para que sus aspectos t\u00e9cnicos figuren por separado de sus aspectos operativos en este tipo de soluciones.<\/p>\nEl segundo punto que realmente me gustar\u00eda que la gente entendiera es lo impactante que ha sido toda la retroalimentaci\u00f3n que hemos recibido durante el proceso de desarrollo. Ya lo mencion\u00e9 al principio, pero voy a volver a hacerlo, porque realmente fue algo que condujo a una norma materialmente mejorada a trav\u00e9s de todos los comentarios que recibimos y me gustar\u00eda, en primer lugar, dar las gracias a todos los que participaron. Y si hay personas que est\u00e1n escuchando esto que nunca han participado en un proceso de RFC antes, me gustar\u00eda animarles a que consideren participar en el futuro, porque sus comentarios son muy importantes para nosotros, creando los est\u00e1ndares que hacemos y asegur\u00e1ndonos de que esos est\u00e1ndares se ajustan al prop\u00f3sito y son absolutamente lo mejor que pueden ser.<\/p>\n
Alicia Malone:<\/strong> S\u00ed. Estoy de acuerdo contigo, Andrew. S\u00e9 que ha sido una norma muy popular. Muy esperado. De hecho, cuando publiqu\u00e9 en LinkedIn que la norma se hab\u00eda publicado, siempre me siento abrumada y asombrada por la respuesta de la comunidad de partes interesadas y por la cantidad de veces que se comparte una publicaci\u00f3n como esa entre cualquiera que gestione pagos m\u00f3viles, as\u00ed que creo que es realmente un testimonio de la popularidad de esta norma y de la necesidad de la misma en nuestro sector.<\/p><\/blockquote>","protected":false},"excerpt":{"rendered":"En noviembre 2022, el Consejo PCI Security Standards\u00a0 public\u00f3 una nueva norma, la muy esperada: Mobile Payments on COTS Standard o MPoC. Aqu\u00ed te compartimos entrevista de Alice Malone, directora de relaciones p\u00fablicas del PCI Security Standards Council con\u00a0 Andrew Jamieson, Vicepresidente de Est\u00e1ndares de Soluciones, quien explicar\u00e1 sobre qu\u00e9 trata la norma y a […]<\/p>","protected":false},"author":1,"featured_media":5640,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[26],"tags":[],"class_list":["post-5639","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias"],"blocksy_meta":[],"_links":{"self":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/posts\/5639","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/comments?post=5639"}],"version-history":[{"count":0,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/posts\/5639\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/media\/5640"}],"wp:attachment":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/media?parent=5639"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/categories?post=5639"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/tags?post=5639"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}